Generování nového certifikátu ve tvaru P12 webovou aplikací CAcert

Webová aplikace je umístěna zde. Lze ji použít v jakémkoli prohlížeči. Výsledkem je soubor ve formátu P12 (PFX), který lze importovat do téhož i jiného webového prohlížeče nebo do OS Windows.

Postup je zcela přímočarý a je (anglicky) popsán přímo v aplikaci.

/!\ Pozor! Aplikace vytvoří soubor ve tvaru P12, obsahující dva kořenové certifikáty CAcert, nový klientský certifikát a odpovídající (heslem zašifrovaný) privátní klíč. /!\
/!\ Vytvořený privátní klíč ani certifikát se neuloží do prohlížeče, v němž aplikaci použijete. /!\

Podrobný postup

1. Vygenerujte CSR, privátní a veřejný klíč

Po spuštění se ukáže úvodní stránka aplikace. V záhlaví stránky je stažitelné, škálovatelné logo CAcert, název aplikace a postupová lišta.

Úvodní stránka aplikace

Vyplníte jméno - jelikož je pak nahradí web CAcertu z Vašeho účtu, může být v podstatě libovolné. Vyberete délku klíčů - sílu šifrování. Předvolená hodnota je 3072. Hodnota 2048 je označena jako nejvíce kompatibilní, ale nejméně bezpečná. Stiskněte tlačítko Generate... a vyčkejte vygenerování klíčů - postup lze sledovat na liště v záhlaví stránky.

2. Přeneste CSR do formuláře CAcert

Po ukončení generování je na stránce toto:

Žádost je vygenerována

Lišta je modrá a oznamuje, že je připravena žádost, kterou je třeba podat. Posuvem stránky dolů vidíte:

Zobrazení privátního klíče; uložení CSR do schránky

Červené tlačítko ukáže privátní klíč, což pravděpodobně nevyužijete. Následuje výpis CSR ve tvaru Base64 a modré tlačítko, kterým dostanete CSR do schránky Clipboard, což se bude hodit v dalším kroku.

Přenos vydaného certifikátu do aplikace

3. Vystavení certifikátu

V dalším textu vidíte odkaz na CAcert web. Použijte ho, přihlaste se, jděte na úvodní stránku "Klientské certifikáty - Nový". Zde vyberte e-mailové adresy pro certifikát a případně zvolte vložení Vašeho občanského jména do certifikátu. Do velkého textového pole postavte kursor a kombinací Ctrl-V vložte CSR ze schránky. Při počtu bodů AP > 49 můžete ještě vybrat podepisování kódu a/nebo SSO. Nezapomeňte zaškrtnout potvrzení dohody CCA. Stiskněte "Další".

Stránka Nový certifikát

Po vystavení certifikátu se ukáže stránka, kde je nový certifikát zobrazen. Odkazy v horní části této stránky nepoužívejte, neboť:

  1. Nemáte žádný způsob, jak do prohlížeče dostat privátní klíč, kromě importu ze souboru typu P12, ten však v této fázi ještě nemáte.
  2. Nejlepší způsob uchování certifikátu i s odpovídajícím privátním klíčem je právě v souboru typu P12 a proto nemá smysl ukládat si soubory jiných formátů obsahující POUZE certifikát.

Vyberte celý certifikát myší, i s úvodním a závěrečným komentářem a pomocí Ctrl-C ho přeneste do schránky. Nyní se vraťte k aplikaci. Tam postavte kursor do velkého pole níže pod odkazem na CAcert web. Pomocí Ctrl-V vložte certifikát ze schránky do pole. Posuňte se na stránce na bod 4.

Vystavený certifikát

4. Vytvoření souboru s certifikátem a privátním klíčem

Aplikace má nyní jak certifikát, tak privátní klíč (který se nikam neodesílal). Pro jeho bezpečnostní zašifrování vyžaduje heslo. Vytvořte heslo a zadejte je, pro kontrolu si je můžete zobrazit podržením myši na značce vpravo. Stiskněte modré tlačítko "příprava stažení".

Stažení souboru P12

5. Stažení souboru

Konečně se objeví závěrečný text, že soubor formátu P12 je připraven a můžete ho stáhnout a pak importovat do prohlížečů, OS Windows, i jiného SW. Stiskněte zelené tlačítko, soubor pojmenujte (ponechte příponu) a uložte.

6. Import souboru typu P12 do prohlížeče nebo operačního systému

Princip

Soubor P12 (přípony .p12 nebo .pfx) můžete importovat:

  1. do OS Windows utilitou MMC-Certifikáty,
  2. do OS Windows prostřednictvím Správce certifikátů v prohlížečích Edge, Chrome, Opera, Vivaldi, Brave (a dalších, používajících úložiště certifikátů Windows),
  3. do vlastního úložiště prohlížeče (Firefox, Basilisk, Seamonkey, Palemoon a dalších),
  4. do vlastního úložiště v systémech Linux (Firefox, Chromium a jiné zde používané prohlížeče).

Jak otevřít Správce certifikítů u nejčastěji používaných prohlížečů:

Správce certifikátů Firefox/Basilisk/Palemoon/Seamonkey

Správce certifikátů Firefox - autority

Kořenový certifikát CAcert najdete v záložce Autority pod "R" (Root CA). Použijte označené tlačítko a zkontrolujte důvěru Vašeho stroje ke kořenovému certifikátu CAcert. V dalším dialogu musí být pro "Root CA" - "CA Cert Signing Authority" zaškrtnuty všechny možnosti.

Správce certifikátů Firefox - osobní

Import vytvořených klíčů a certifikátu ze souboru P12 provedete na záložce "Osobní" (Your Certificates) naznačeným tlačítkem "Import...". Zadáte vytvořený soubor P12 a heslo, které jste při vytváření souboru stanovili. Správce by měl oznámit úspěch a po stisknutí OK se importovaný certifikát objeví v jeho okně.

Správce certifikátů Chrome

Správce certifikátů Chrome - osobní pod autoritami

Ve Správci certifikátů prohlířeče Chrome pod Linuxem je na záložce "Vaše certifikáty" jen nic neříkající "org-" a název certifikátu. Po rozbalení pak vidíte názvy svých certifikátů a můžete si prohlédnout jejich obsah, kde teprve vidíte, která autorita je vydala. Nový certifikát ze souboru P12 přidáte tlačítkem "Import". Opět je třeba zadat heslo privátního klíče.

Správce certifikátů Chrome - autority

Pokud chcete zkontrolovat důvěru k certifikační autoritě, najdete ji na záložce autorit. Název začíná org-Root CA, což lze rozbalit, jak je naznačeno. Důvěru pak lze upravit po výběru "Upravit" z menu vpravo (3 tečky). Zaškrtněte všechny možnosti, pokud již nejsou zvoleny.

Správa certifikátů Windows dostupná z prohlížečů

Správce certifikátů Windows - osobní

Běží-li prohlížeč využívající systémového úložiště, v systému Windows, pak jako okno Správce certifikátů uvidíte toto okno. Je to vlastně část pohledu utility MMC-Certifikáty do systémového úložiště. Chybí zde levý - stromový - panel kde bychom zjistili, že jde o osobní certifikáty aktuálního uživatele. Sem tedy můžeme importovat vytvořený soubor P12 použitím zvýrazněného tlačítka. Tím se spustí Průvodce importem certifikátu, kde vyberete soubor typu P12 (s příponou .p12) k importu.

S průvodcem projdete celý proces importu. Po jeho ukončení můžete zkontrolovat importovaný certifikát tím, že jej otevřete. Ve spodní části okna certifikátu musíte vidět ikonu klíče a text "Máte privátní klíč, jenž odpovídá tomuto certifikátu".

Oproti tomu není nutné kontrolovat důvěru ke kořenovému certifikátu (třídy 1) CAcert, protože tu je třeba potvrdit již při jeho importu do Windows.

Poznámka: S použitím souborů typu P12 je možný scénář, kdy na zařízení, kam chcete nainstalovat certifikát a privátní klíč, nejsou ještě nainstalovány kořenové certifikáty CAcert. Ze souboru P12 lze zároveň instalovat i ty, ale je nutno dodržet určitá pravidla:

1. Při importu, jehož cílem je systém Windows, je v Průvodci třeba ponechat automatický výběr úložiště, aby jednotlivé části souboru P12 zapadly do správných úložišť.

2. Při importu, jehož cílem je vlastní úložiště prohlížeče / Linuxu, je třeba po importu zkontrolovat / nastavit důvěru ke kořenovému certifikátu třídy 1.


HowTo/Generate-new-CSR/CZ (last edited 2024-05-23 08:46:50 by AlesKastner)